Koliko su bezbedni podaci građana Srbije?
Bezbednosni propust u aplikaciji Privredne komore Srbije ugrozio je privatnost osetljivih podataka velikog broja građana Srbije.
Nedavno je otkriven bezbednosni propust u jednoj aplikaciji Privredne komore Srbije, zbog kog je bilo moguće pristupiti svim informacijama bez autentifikacije.
Informaciju o ovom propustu podelio je Jovan Šikanja (@Joshibeast) na Twitteru
Na serveru je otkrivena ranjivost CWE-548 koja omogućava pristup informacijama preko liste direktorijuma (directory listing). Lista direktorijuma pruža napadaču kompletan indeks svih resursa koji se nalaze unutar direktorijuma. Konkretni rizici i posledice variraju u zavisnosti od toga koje su datoteke navedene i dostupne.
U ovom slučaju kompletan file storage web aplikacije PKS-a, na kom se nalaze osetljivi podaci velikog broja građana Srbije koji su koristili aplikaciju, bio je izložen bez autentifikacije.
„U samo nekoliko klikova uspeli smo da nađemo par skenova ličnih karata i dve diplome fakulteta.“
Slučaj je prijavljen Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti koji je odmah reagovao.
"Tačan broj fajlova nismo utvrdili, zbog osetljivosti podataka, nismo želeli da izlazimo van okvira nečega što je etično. Bila je ideja da se što brže sve skloni.
Bilo je tu pored ličnih karata i finansijskih izveštaja, ugovora i već tada nam je postalo jasno da ovo nije za šalu."
Directory listing je popravljen i fajlovi više nisu dostupni neautentifikovanim korisnicima, ali još nije potvrđeno da su svi problemi otklonjeni, pa zbog toga još uvek ne znamo o kojoj tačno aplikaciji se radi.
Ne znamo ni da li je isti propust pre @Joshibeast i @dusandz otkrio neko ko ne deli njihove etičke vrednosti. Zbog toga ćemo se duboko zamisliti koliko su bezbedni naši podaci i da li institucije zaista, a ne samo na papiru, brinu o bezbednosti naših podataka.